Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Bloody Wolf ги проширува RAT нападите на NetSupport базирани на Java во Киргистан и Узбекистан

Објавено: 28.11.2025

Заканувачот познат како Bloody Wolf е поврзан со кампања на сајбер-напади што го таргетира Киргистан најмалку од јуни 2025 година, со цел испорака на NetSupport RAT.

До октомври 2025 година, активноста се проширила и за да го таргетира Узбекистан, изјавија истражувачите од Group-IB, Амирбек Курбанов и Волен Кајо, во извештај објавен во соработка со Ukuk, државно претпријатие под Канцеларијата на јавниот обвинител на Република Киргистан. Нападите биле насочени кон финансискиот, владиниот и информатичко-технолошкиот (ИТ) сектор.

„Овие заканувачи се претставувале како [киргистанското] Министерство за правда преку PDF-документи и домени со официјален изглед, кои хостирале злонамерни Java Archive (JAR) фајлови дизајнирани за инсталација на NetSupport RAT“, соопшти компанијата со седиште во Сингапур.

„Оваа комбинација од социјален инженеринг и лесно достапни алатки му овозможува на Bloody Wolf да остане ефикасен, додека истовремено одржува низок оперативен профил.“

Bloody Wolf е името доделено на хакерска група со непознато потекло која користела spear-phishing напади за таргетирање организации во Казахстан и Русија, користејќи алатки како STRRAT и NetSupport. Се смета дека групата е активна најмалку од крајот на 2023 година.

Таргетирањето на Киргистан и Узбекистан со слични техники за почетен пристап претставува проширување на операциите на заканувачот во Централна Азија, при што главно се имитираат доверливи владини министерства во фишинг-мејлови за дистрибуција на заразени линкови или прилози.

Синџирите на напад во најголем дел следат ист пристап, каде примателите на пораките се измамени да кликнат на линкови кои преземаат злонамерни Java архиви (JAR) како loader фајлови, заедно со инструкции за инсталација на Java Runtime.

Иако во е-поштата се тврди дека инсталацијата е неопходна за преглед на документите, во реалноста таа се користи за извршување на loader-от. Откако ќе се стартува, loader-от продолжува да го презема следниот степен на payload (т.е. NetSupport RAT) од инфраструктура под контрола на напаѓачот и воспоставува перзистентност на три начини:

  • Креирање закажана задача
  • Додавање вредност во Windows регистарот
  • Поставување batch скрипта во папката „%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup“

Фазата на кампањата во Узбекистан е значајна поради вклучувањето геофенсинг ограничувања, при што барањата што доаѓаат надвор од земјата се пренасочуваат кон легитимната веб-страница data.egov[.]uz. Барањата од внатрешноста на Узбекистан, пак, иницирале преземање на JAR фајлот преку вграден линк во PDF прилогот.

Group-IB соопшти дека JAR loader-ите забележани во кампањите се изградени со Java 8, објавена во март 2014 година. Се верува дека напаѓачите користат сопствен JAR генератор или шаблон за креирање на овие артефакти. NetSupport RAT payload-от е стара верзија на NetSupport Manager од октомври 2013 година.

„Bloody Wolf покажа како евтини, комерцијално достапни алатки можат да се претворат во софистицирани, регионално насочени сајбер операции“, се наведува во извештајот. „Со злоупотреба на довербата во државните институции и користење едноставни JAR-базирани loader-и, групата продолжува да одржува силно присуство во заканувачкиот пејзаж на Централна Азија.“

Извори:

  • The Hacker News – Bloody Wolf Expands Java-based NetSupport RAT Attacks in Kyrgyzstan and Uzbekistan The Hacker News